摘要:在數字經濟時代��,App的廣泛運用使得人們生活����、工作更加便捷。但是App在運營過程中也存在很多風險和問題。目前�,App在收集用戶個人信息時主要存在積極的違法違規行為和消極的違法違規行為兩種。治理App違法違規收集使用個人信息的行為����,需要民���、行政�����、xingdengzhuduobumenfadeheli。zuohaogerenxinxibaohuyucujinshuzijingjiqiyeheguifazhanjiandepingheng�,bujinxuyaojianguancengmiandezhili��,erqieyexuyaoqiyezishenjuyouheguiyishi�����,guancheyukaifayunyingApp之中。
關鍵詞:App運營企業�����;收集使用�;個人信息����;合規建議
數字經濟的飛速發展���,移動App[1]滲透於日常生活的方方麵麵�����,人們對於各類移動App的依賴程度越來越高。這雖然使得人們傳遞和獲取信息的途徑更加便捷����,但也伴隨著新風險:App運營企業在處理用戶個人信息時的不合法合規行為�,使得個人信息泄露的隱患進一步擴大。對於開發��、運營App的企業而言�,用戶收集個人信息是其企業運營必不可少的一環���,蘊含了重大的商業利益。以阿裏巴巴����、京東等互聯網公司為例��,無論是其背後的廣告運營�����、調貨配備�����,還是未來的高地——“人工智能”���,都需要搜集用戶個人信息。然而���,企業在收集用戶個人信息時漠視用戶合法權益的現象非常普遍。對於App運營企業來說�����,用戶個人信息收集的合規�����,不僅有利於保護用戶的合法權益���,而且也能阻卻企業陷入民事�����、行政乃至刑事法律風險之中。因此���,App運營企業在收集用戶個人信息時必須高度重視用戶個人信息收集的合法合規性。
一�����、App收集使用用戶個人信息的問題
近些年來���,因App個人信息泄露對人們的生活造成了很大影響��,使得人們在數字經濟時代毫無隱私可言����,成為了“透明人”。越來越多的用戶表示�����,App注冊時強製要求提供儲存空間���、位置信息和通訊錄等����,這就使得App運營企業掌握著大量的個人信息���,而個人信息不當或故意泄露後����,個人用戶接到推銷電話����、短信騷擾�����、垃圾郵件乃至詐騙電話是常用之事。[2]更為嚴重的是�,部分用戶特別是對互聯網不熟悉的人�,成為網絡電信詐騙以及其他犯罪的受害人。從目前出台的相關法律法規�、規範性文件及監管部門開展的整治活動來看����,App收集使用個人信息的違法違規行為有很多種�����,但概括起來主要為積極違法違規行為和消極違法違規行為兩種。
(一)App運營企業存在的積極違法違規行為
針對用戶個人信息的全過程�����,涉及到用戶信息收集�����、存儲�、使用���、轉讓以及刪除等各個方麵。在這之中�����,App運營企業實施的積極違法違規行為占大多數。積極違法違規行為����,是指App運營企業在收集����、使用�、提供用戶個人信息時實施的行為。具體來說�,App運營企業存在如下積極違法違規行為:
1.未公開收集使用規則
在用戶下載App���,注冊成為該款App的用戶時����,必須要簽署用戶協議和隱私政策等公開文件。用戶協議與隱私政策成為了研究APP運營企業對個人信息收集使用是否合法合規最為直接的依據。[3]從目前開展的一係列針對APP的整治活動來看��,目前大多數App都已經配備相應的隱私政策及用戶協議����,但是在公布的隱私政策中存在未以顯著方式展示隱私政策�、首次運行時未通過“頁麵彈窗”等明顯方式提供用戶閱讀隱私政策等收集使用規則的情形�����、隱私政策等收集使用規則難以閱讀等情形。
2.未明示收集使用個人信息的目的�、方式和範圍
根據《中華人民共和國網絡安全法》之規定��,網絡運營者收集����、使用個人信息�,應當明示收集�、使用信息的目的����、方式和範圍。而2021年8月20日發布的《中華人民共和國個人信息保護法》也再次明確���,處理個人信息應當明示處理的方式��、目的和範圍。但是����,在實踐中����,存在部分App並不逐一列出收集使用個人信息的目的���、方式和範圍等情形:在收集使用個人信息的目的�、方式和範圍發生變化時�����,未以適當方式通知用戶的情形��;申請收集個人敏感信息或者打開可收集個人信息的權限時����,未告知用戶目的�,或者目的不明確����、難以理解等情形。
3.未經用戶同意收集使用個人信息
獲得用戶的知情同意是App運營企業收集用戶個人信息的前提。如果沒有用戶的同意����,就不能擅自收集用戶個人信息。但是實踐中���,部分App運營企業為了能夠達到收集用戶個人信息的目的“不擇手段”�,在未經用戶同意前就開始收集個人信息或者在用戶明確表示不同意後依舊收集��,以非明示方式�、不正當方式征求用戶同意����,實際收集的個人信息超出用戶授權範圍等等。例如部分App運營公司會在部分終端(例如“手機”)閑置或者休眠時自動運行或者後台運行掃描和搜集用戶的“相冊”“短信”“通訊錄”等各種信息。
4.違反必要原則���,收集與其提供的服務無關的個人信息
按照規定���,App運(yun)營(ying)企(qi)業(ye)在(zai)收(shou)集(ji)用(yong)戶(hu)個(ge)人(ren)信(xin)息(xi)時(shi)���,隻(zhi)能(neng)收(shou)集(ji)其(qi)為(wei)用(yong)戶(hu)提(ti)供(gong)服(fu)務(wu)所(suo)必(bi)須(xu)的(de)個(ge)人(ren)信(xin)息(xi)�,不(bu)能(neng)收(shou)集(ji)與(yu)所(suo)提(ti)供(gong)的(de)服(fu)務(wu)無(wu)關(guan)的(de)個(ge)人(ren)信(xin)息(xi)。但(dan)是(shi)����,很(hen)多(duo)情(qing)況(kuang)下(xia)��,App運營企業超範圍收集與其所提供的服務無關的����、非(fei)必(bi)要(yao)的(de)個(ge)人(ren)信(xin)息(xi)�,並(bing)且(qie)在(zai)用(yong)戶(hu)不(bu)同(tong)意(yi)收(shou)集(ji)非(fei)必(bi)要(yao)個(ge)人(ren)信(xin)息(xi)時(shi)拒(ju)絕(jue)提(ti)供(gong)服(fu)務(wu)����,收(shou)集(ji)個(ge)人(ren)信(xin)息(xi)的(de)頻(pin)度(du)超(chao)出(chu)服(fu)務(wu)實(shi)際(ji)需(xu)要(yao)等(deng)。例(li)如(ru)部(bu)分(fen)讀(du)書(shu)軟(ruan)件(jian)在(zai)首(shou)次(ci)打(da)開(kai)運(yun)行(xing)時(shi)�����,需(xu)要(yao)索(suo)取(qu)用(yong)戶(hu)的(de)通(tong)訊(xun)錄(lu)和(he)位(wei)置(zhi)信(xin)息(xi)���,這(zhe)顯(xian)然(ran)於(yu)讀(du)書(shu)軟(ruan)件(jian)的(de)定(ding)位(wei)不(bu)同(tong)。
5.未經用戶同意向他人提供個人信息
根gen據ju法fa律lv規gui定ding����,除chu非fei有you法fa律lv規gui定ding的de例li外wai情qing況kuang�,個ge人ren信xin息xi收shou集ji者zhe在zai未wei經jing用yong戶hu同tong意yi的de情qing況kuang下xia�,不bu得de擅shan自zi向xiang第di三san方fang提ti供gong該gai用yong戶hu的de個ge人ren信xin息xi。如ru果guoAppyunyingqiyeweijingyonghutongyiershanzixiangdisanfangtigongyonghugerenxinxi�,zhijiehouguojiushiyonghugerenxinxidexielu�����,danshixieludegerenxinxihenkenengchengweitarenshishiweifafanzuixingweidegongju�,lirudianxinzhapiandeng。suoyiApp運營企業在向第三方提供用戶個人信息時需滿足如下兩個條件之一:1)獲得用戶同意�;2)匿名化處理。實踐中���,既未經用戶同意�,也未做匿名化處理��,通過App客戶端直接向第三方提供個人信息或者數據傳輸至後台服務器後向第三方提供以及App接入第三方應用��,向第三方應用提供個人信息的����,都屬於常見的未經用戶同意向第三人提供個人信息的情形。
(二)消極違法違規行為
消極違法違規行為�����,是指App運營企業本應按照規定提供相應的服務但未提供相應服務的行為。主要包括兩種行為方式:一是未按照法律規定提供刪除或者更正個人信息功能�;二是未公布投訴���、舉報方式等信息。具體到實踐中���,體現為App中zhong並bing未wei為wei用yong戶hu提ti供gong有you效xiao的de注zhu銷xiao用yong戶hu賬zhang途tu徑jing����,沒mei有you建jian立li並bing公gong布bu用yong戶hu個ge人ren信xin息xi的de投tou訴su和he舉ju報bao渠qu道dao�����,使shi得de用yong戶hu投tou訴su無wu門men�,或huo者zhe為wei注zhu銷xiao用yong戶hu賬zhang號hao設she置zhi不bu合he理li的de條tiao件jian讓rang用yong戶hu難nan以yi注zhu銷xiao。
收shou集ji用yong戶hu個ge人ren信xin息xi涉she及ji的de積ji極ji違wei法fa違wei規gui行xing為wei和he消xiao極ji違wei法fa違wei規gui行xing為wei對dui於yu用yong戶hu權quan益yi都dou或huo多duo或huo少shao造zao成cheng了le侵qin害hai�����,其qi中zhong積ji極ji的de違wei法fa違wei規gui行xing為wei對dui用yong戶hu造zao成cheng了le直zhi接jie侵qin害hai�,消xiao極ji違wei法fa違wei規gui行xing為wei更geng多duo是shi對dui用yong戶hu造zao成cheng了le間jian接jie侵qin害hai。從cong目mu前qian的de法fa律lv規gui定ding以yi及ji開kai展zhan的de一yi係xi列lie治zhi理li活huo動dong來lai看kan����,積ji極ji違wei法fa違wei規gui行xing為wei對dui於yu用yong戶hu個ge人ren信xin息xi的de損sun害hai更geng加jia嚴yan重zhong���,也ye成cheng為wei打da擊ji的de重zhong點dian。
二����、App用戶個人信息保護的立法趨勢
如前所述�,各類移動App在收集使用用戶個人信息時存在諸多違法違規的行為�,為了規範App運營企業對個人信息的收集使用����,更好地保護移動App用yong戶hu的de權quan益yi��,近jin些xie年nian來lai�����,我wo國guo通tong過guo出chu台tai相xiang應ying的de法fa律lv加jia大da了le對dui此ci類lei行xing為wei的de打da擊ji力li度du����,對dui於yu個ge人ren信xin息xi收shou集ji使shi用yong的de規gui製zhi也ye越yue來lai越yue完wan善shan。目mu前qian����,我wo國guo在zai民min事shi�����、行政以及刑事層麵對於App收集使用個人信息都建立了較為完善的法律規製體係。
(一) App運營企業收集使用用戶個人信息的民事規製
2021年開始實施的《民法典》將個人信息權利規定其中����,並且在“人格權編”中專章規定了“隱私權和個人信息保護”����,從法律層麵強調了對於個人信息的保護力度。《民法典》強調�,自然人的個人信息受法律保護�����,任何組織或者個人需要獲取他人個人信息的����,應當依法取得並確保信息安全��,不得非法收集����、使用��、加工��、傳輸他人個人信息���,不得非法買賣�����、提供或者公開他人個人信息。與此同時���,最高人民法院發布了《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》��,加強對於人臉識別技術引發的個人信息保護���,也發布了新的《民事案件案由規定》���,單獨規定了“個人信息保護糾紛”案由[4]且此類案件審理數量正在不斷增加。所以���,對於App運營企業收集使用個人信息時存在違法違規行為的�����,則用戶可以主張App運營企業承擔相應的民事責任。
(二) App運營企業收集使用用戶個人信息的行政規製
目前��,對於App運營企業違法違規收集用戶個人信息的行為�����,國家也更多是運用行政手段來進行懲處�����,所以相關監管部門針對移動App的de違wei法fa違wei規gui行xing為wei開kai展zhan了le一yi係xi列lie的de整zheng治zhi活huo動dong。為wei貫guan徹che依yi法fa治zhi國guo����,國guo家jia也ye出chu台tai了le一yi係xi列lie的de法fa律lv及ji規gui範fan性xing文wen件jian為wei相xiang關guan行xing政zheng部bu門men規gui製zhi企qi業ye違wei規gui收shou集jiApp個人信息提供了有力的依據。
2016年11月7日����,我國出台了《網絡安全法》完善了個人信息保護規則�;2021年6月10日發布了第一部有關數據安全的專門法律《數據安全法》����,並且在2021年8月20日出台了《個人信息保護法》����,對於個人信息保護進行了係統性�����、全麵性的規定。這三部法律的相繼出台��、實施�,進一步為維護用戶個人信息保駕護航����,對於App運營企業注重數據合規提出了更細的要求。
此外���,我國還頒布了諸多法律及規範性文件對App用戶個人信息進行保護。如2012年發布了《全國人民代表大會常務委員會關於加強網絡信息保護的決定》為加強網絡信息保護提供了法律依據����;2013年出台的《電信和互聯網用戶個人信息保護規定》明確了電信業務經營者�����、互聯網信息服務提供者收集�����、使用用戶個人信息的規則和安全保障義務等等。2019年國家網信辦����、工信部�、公安部�、市監總局(以下簡稱“四部門”)聯合發布《關於開展App違法違規收集使用個人信息專項治理的公告》《App違法違規收集使用個人信息行為認定方法》����,明確了App違法違規收集使用個人信息行為的認定規則�����;2021年���,四部門聯合發布《常見類型移動互聯網應用程序必要個人信息範圍規定》�����,2021年4月26日�,工業和信息化部�����、信息通信管理局發布了《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》��,進一步規範App個人信息處理活動。
目前�,針對App違法違規收集用戶個人信息的運營企業����,相關監管部門首要采取的是約談整改的手段��,逾期不改的����,公開曝光��;情節嚴重的�,依法暫停相關業務��、停業整頓�、吊銷相關業務許可證或者吊銷營業執照�����,單處或並處警告�、沒收違法所得或者罰款等行政處罰措施。[5]所以����,對於違法違規收集使用個人信息的App運營企業����,在行政上可能麵臨“輕則約談整改�����,重則行政處罰”的不利後果。
從目前的實踐來看�,有關部門對於違法違規收集使用個人信息的App運營企業進行嚴苛的處罰案例尚未發生���,但是可以看出國家層麵對個人用戶信息的保護是越發嚴格�,從北京字節跳動科技有限公司(以下簡稱“字節跳動”)赴美上市暫時停止這一事件似乎可以得到相應的印證。同時��,國內互聯網企業的“出海”進程不斷深入�,企業不僅僅需要關注國內的法律製度�����,還需要關注國外的法律製度。2021年7月��,亞馬遜(AMZN.US)因通過處理用戶個人數據[6]違反了歐盟的《一般數據保護條例》(General Data Protection Regulation���,簡稱GDPR)�����,被處以創紀錄的7.46億歐元(合8.65億美元)罰款。這一處罰案例��,讓國內App運營企業不得不警惕:未來國內行政部門是否會對此類數據行為處以高額的行政處罰��?
(三)App運營企業收集使用用戶個人信息的刑事規製
個人信息保護是近些年來國家工作的重點�����,也一直是社會治理的難點。因此����,刑事上也進一步加大了對於App運營企業收集使用個人信息的規製。2015年�����,《刑法修正案(九)》將“出售�、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”一罪�����,擴大了犯罪主體和侵犯個人信息行為的範圍。[7]隨後在2017年5月�����,兩高出台了《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》����,進一步細化了侵犯公民個人信息的定罪量刑標準。從而在規範App運營企業收集使用個人信息行為時�,能夠形成刑法與其他部門的合力���,從而更好地打擊犯罪。
根據《刑法》dierbaiwusanshitiaozhiyideguiding����,qinfangongmingerenxinxizuishizhiweifanguojiayouguanguiding�,xiangtarenchushouhuozhetigonggongmingerenxinxi����,qingjieyanzhongdexingwei。genjugaiguiding���,xingfazhuyaoguizhideshiApp運營企業積極的違法違規行為�,對於App運營企業消極的違法違規行為目前並未納入刑法的懲治範圍之中���,更多是靠行政監管進行懲治。
三�、App運營企業收集使用用戶個人信息的合規建議
做好數據合規����,是企業避免陷入法律風險的最好舉措。目前就個人信息收集的文件眾多����,對於Appyunyingqiyedeguizhiyeyuelaiyueyange。ruhexunzhaodaogerenxinxibaohuyuliyonggerenxinxicujinqiyepingtaidefazhanzhijiandemaodunpinghengdian。zhebujinjinxuyaojianguanbumendejianguan�����,yexuyaoguanlicengyaozaifalvfaguikuangjianeiyunyingApp��,將合規意識貫徹在日常運營過程中。就目前App收集用戶個人信息的問題及當前就App個人信息保護的立法趨勢�����,筆者認為�,App運營企業應當從以下方麵做好App收集使用用戶個人信息工作。
(一)在法律規定�、政策文件的框架內開發合法合規的App
開發���、運行App並獲取大量用戶使用對於企業來說存在巨大的商業價值����,用戶在App上留下的海量信息更是成為有待企業進一步深入挖掘的財富。不得不說�����,雖然App上的用戶個人信息能給企業帶來很大的價值�����,但企業依舊得在法律法規框架內開發App����,在用戶個人信息的收集使用上做到合法合規。正所謂“水可載舟���,亦可覆舟”�����,海量用戶的支持得以讓企業享受數據的紅利���,但是若不能善待用戶的個人信息���,一旦失去用戶的信任�,那麼對於App運營公司來說將是毀滅性打擊。對此��,企業需要做到以下兩個方麵:一方麵�,在擬開發App之前����,必須要了解當前對於App運營的所有法律法規��、政策文件�����,根據擬開發的App所屬行業����、主要功能以及提供的產品或服務等�,進一步梳理擬開發的App所必須具備的資質。[8]如金融理財類App在各應用商店上架時可能需要取得相應的金融許可證����,視頻類APP上架時可能需要提供《信息網絡傳播視聽節目許可證》或《廣播電視節目製作經營許可證》�,遊戲類或者文化活動類App需辦理《網絡文化經營許可證》����,醫療類App上架時需提供《互聯網醫療信息服務許可證》等等。[9]另一方麵���,除了準備好擬開發App上架所需要的一係列資料之外����,App運營企業應在個人信息收集��、存儲���、使用�、向他人提供���、刪除等各個環節采取相應的合法合規措施���,按照相關政策文件製定相應的隱私政策���,明確App收集使用個人信息需遵循的規則�,並提供用戶注銷賬號���、更正或刪除個人信息����,提供申訴�����、投訴渠道����,保障用戶的合法權益。
(二)及時學習新修訂的法律規定���、政策文件��,開展自評估����,不斷完善App
目前關於App合法合規收集使用個人信息的法律法規����、政策文件很多�����,相關監管部門也發布了多批App存在個人信息收集使用問題的通告�����,後續依舊會出台相應的文件�,發布最新的通告。App運營企業必須及時學習新修訂的法律規定��、政策文件���,對標自己開發的App�,開展自評估���,查看是否存在與法律法規�、政策性文件規定不一致的地方�����,及時整改現存的問題����,不斷完善開發運營的App。
關於App是否存在違法違規收集使用用戶個人信息的問題���,目前最主要的是規定於《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南》《App違法違規收集使用個人信息行為認定方法》�,所以App運營企業在開發App時便需要對標已生效的文件運營App�,但是對於後續發布的文件也要及時學習�����,如2021年11月1日開始實施的《個人信息保護法》�,2021年4月26日���,工信部��、信息通信管理局發布的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》�,目前還處於向社會公開征求意見階段����,後續發文生效後也需要遵守該規定�,發現有不合規的及時整改。
(三)立足國內��,放眼國外��,以高標準法律規定規範App開發行為
互聯網的發展讓全世界的人可以在感官上跨越空間�,實現“地球村”或者說“元宇宙”這一願景。那麼Appdekaifaheyunyinghenkenenghuikuayueguojiadejiexian���,zaiquanshijiefanweineijinxing。ruqiansuoshu����,ruhemianduibutongguojiaduiyugerenxinxibaohudebutongchidu��?bushaodaxingdegongsiyijingkaishijinxingyouyidetansuo。liru[10]字節跳動已經開始招聘數據安全隱私保護(GDPR)相關崗位以開展隱私保護合規風險評估及相關規範製度審查����,提供差距分析及合規整改建議����;普華永道中天會計師事務所(特殊普通合夥)亦開展了相關招聘����,以便給客戶提供合理合法的合規建議。雖然我國國內針對部分企業違法違規收集�����、處理或使用個人信息保護處罰力度並不算嚴重��,但是一旦國內的法律規製進一步提升處罰力度�,那麼App運營企業很可能會因為自身不合規的行為遭受重罰。因此����,國內的App運營企業不僅僅需要立足國內的法律框架內合法使用個人信息�����,更需要以(國外)高標準法律規定規範App開發行為。
四����、結語
gerenxinxibaohushishuzijingjishidaiwufaraokaidehuati�����,ruhepinghenggerenxinxibaohuyucujinshuzijingjiqiyeheguifazhanjiandemaodun����,bujinxuyaowaibujianguanbumendejiandu����,yexuyaoqiyezishennenggou“守得住底線”���,做到自律���,能在法律法規框架內收集使用個人信息。開發運營App時不僅要依據現有規定開發App,而且也要了解新出台的法規及時調整App運營規則����,做到從始至終合法合規���,這不僅有利於預防App被下架的風險��,而且也能讓企業避免陷入民事�、行政乃至刑事法律風險之中。
注釋:
[1] App專業術語叫移動互聯網應用程序���,是指通過預裝����、下載等方式獲取並運行在移動智能終端上�、向用戶提供信息服務的應用軟件。
[2] 2018年8月29日����,中國消費者協會於2018年7月17日至8月13日組織開展“App個人信息泄露情況”問卷調查�,並發布了《App個人信息泄露情況調查報告》���,報告顯示�,個人信息泄露後遭遇推銷電話活短信騷擾的占比最高�,接到詐騙電話的次之��,收到垃圾郵件的占比第三。
[3] 馬天一:App違法違規收集使用個人信息的刑事責任邊界��,載網絡空間安全��,2020年第12期�����,P3。
[4] 2021年7月28日����,最高人民法院召開新聞發布會�,發布《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》。最高法副院長楊萬明表示����,民法典施行以來��,截止到6月30日����,各級人民法院正式以個人信息保護糾紛案由立案的一審案件192件�,審結103件。
[5] 參見《網絡安全法》第64條���,《電信和互聯網用戶個人信息保護規定》第23�����、24條�����,《關於開展App違法違規收集使用個人信息專項治理的公告》第3條。
[6] 亞馬遜近年來因其收集的大量客戶和合作夥伴的數據而受到審查�����,這些客戶和合作夥伴包括在其零售平台上銷售商品的獨立商戶�����、Alexa數字助手的用戶�����、以及瀏覽其購物網站和有購買曆史的購物者。
[7] 陳際紅.大數據應用中數據收集的合法性分析[J].汕頭大學學報(人文社會科學版)第33卷第5期����,P50。
[8] 《移動互聯網應用程序信息服務管理規定》第五條:“tongguoyidonghulianwangyingyongchengxutigongxinxifuwu��,yingdangyifaqudefalvfaguiguidingdexiangguanzizhi。congshihulianwangyingyongshangdianfuwu���,haiyingdangzaiyewushangxianyunyingsanshirineixiangsuozaidisheng���、自治區����、直轄市互聯網信息辦公室備案。”
[9] App在不同應用商店上架時要求不同�,所以要了解不同應用商店的資質要求。
[10] 筆者以“數據合規”為檢索詞在BOSS直聘等軟件中檢索發現。
